Описание вредоносного ПО

Кража под музыку

Приложение «Музыка ВКонтакте» ворует аккаунты пользователей

Согласно известной китайской поговорке, «Путь в тысячу ли начинается с одного шага». Наш путь к выявлению масштабного хищения личных данных пользователей социальной сети «ВКонтакте» начался с письма пользователя, приславшего нам для изучения подозрительное приложение.

На первый взгляд, исследуемое приложение «Музыка ВКонтакте» содержало лишь заявленную легитимную функцию – проигрывание аудиозаписей, выложенных в социальной сети. Но дальнейшее исследование показало, что оно содержит также вредоносный код, предназначенный для кражи аккаунта пользователя в социальной сети «ВКонтакте» и продвижения в этой сети определенных групп.

Приложение «Музыка ВКонтакте» могло похитить аккаунты сотен тысяч пользователей социальной сети

Tweet

Скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. По нашим оценкам, с помощью этого приложения злоумышленники могли похитить аккаунты сотен тысяч пользователей социальной сети.

Принцип работы вредоносной программы

Сразу после запуска, «Музыка ВКонтакте» просит ввести свой логин и пароль к аккаунту «ВКонтакте», чтобы приложение могло работать в социальной сети.

Вредная музыка

После того как пользователь вводит свои логин и пароль, приложение отправляет их на легитимный сервер аутентификации oauth.vk.com. Если аутентификация прошла успешно, пользователь действительно может слушать музыку, выложенную в социальной сети. А троянец тем временем отправляет проверенные логин и пароль на сервер злоумышленников — обычным текстом.

Вредная музыка

Отметим, что такой способ передачи логина и пароля может привести к их повторной краже другими злоумышленниками, так как не используется безопасный протокол HTTPS.

После этого троянец обращается к своему серверу за списком групп, продвижением которых занимаются злоумышленники. В эти группы он тут же добавляет похищенный аккаунт пользователя.

Помимо продвижения групп, злоумышленники могут менять пароль и использовать украденные аккаунты по своему усмотрению: нам известны случаи, когда у жертвы троянца через некоторое время пропадал доступ к аккаунту «ВКонтакте».

Массовое заражение

Как уже было сказано выше, скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. Подобные приложения пользуются большой популярностью у пользователей Android.

myvk_ru_3

Первая из известных нам версий вредоносного приложения «Музыка ВКонтакте» была опубликована в Google Play 16 августа 2015 года, далее версии меняли, как правило, раз в 6-10 дней. Все версии различались только именем пакета, функциональность приложения оставалась неизменной.

Самая последняя из известных нам версий была опубликована 4 октября. Это была как минимум седьмая версия вредоносного приложения, предыдущие шесть ранее были удалены Google. В то же время, судя по данным из кода троянца, это была уже 15-я версия приложения. Мы не можем утверждать, что все эти версии были размещены в Google Play, мы видели только семь из них.

Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию этого троянца взамен заблокированной.

Опубликованная 4 октября версия приложения уже на следующий день имела средний балл 4.5 при более чем 600 оценках пользователей.

myvk_ru_4

По информации с Google Play, всего за два дня последнюю версию приложения скачали от 100 000 до 500 000 пользователей. По нашим данным, популярность одной из более старых версий была в 10 раз выше – это может означать, что только этой версией могли быть заражены устройства сотен тысяч пользователей.

Последствия

Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» останется незамеченным, пока злоумышленники не решат воспользоваться этими данными и не сменят логин/пароль или не начнут рассылать спам с украденного аккаунта.

Мы призываем пользователей быть бдительными и не вводить логин и пароль в сторонних приложениях. Если у вас было установлено приложение «Музыка ВКонтакте» или подобное приложение для прослушивания музыки в социальной сети «ВКонтакте», рекомендуем удалить его и срочно сменить логин и пароль к аккаунту в этой сети.

Мы сообщили Google о последней выложенной версии вредоносного приложения, и она была удалена. Группы, продвигаемые с помощью троянца, были заблокированы администрацией социальной сети, которую мы также проинформировали о вредоносном приложении.

Все версии вредоносного приложения детектируются продуктами «Лаборатории Касперского» как Trojan-PSW.AndroidOS.MyVk.a.

Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.

Кража под музыку

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Сергей

    А какие есть общие признаки у всех вредоносных приложений? Как их может выявить среди нормальных приложений обычный пользователь?

    1. Roman Unuchek

      К сожалению не существует общего признака для всех вредоносных приложений. В данном случае пользователям не стоило устанавливать сторонее приложение, так как есть официальное приложение от Вконтакте.

  2. Дмитрий

    Никогда не доверял подобным приложениям и всяким «загрузчикам» из контакта и очередной раз вижу, что не зря.

  3. Egor Sm.

    А компанию Agava, которая хостит данный сайт предупредили?

  4. Corvair

    Никогда не ставлю сторонние приложения-«дополнения» к соцсетям и никому не рекомендую этого делать — не первый прецедент вредоносного дополнения. На мобильных устройствах только официальный клиент с нормального места, безопасность сторонних программ и «скачанных бесплатно» с непонятных сайтов никто не гарантирует.
    Кстати, словосочетание типа «скачать бесплатно», автоматически предлагаемое поисковиками при вводе запроса, касающегося какого-либо ПО, также с большой вероятностью приведет к «заразному» сайту

  5. Алексей Моторин

    Слону понятно, что будет если вводишь свои данные. Просто нужно создать левый аккаунт специально для приложения и наслаждаться обилием медиа контента в ВК. 😉

  6. Dan

    Добрый день! Я полгода назад скачал melody player из эпстор на 4 айфон. Месяц назад программа гачала требовать логин и пароль от вконтакте чтобы скачивать из вк новую музыку. Сегодня ввел, потом требовала телефон для подтверждения, тоже ввел. Скажите эта программа безопасна для меня и стоит ли мне менять пароль от страницы вконтакте? Ответьте на почту пожалуйста тоже. Спасибо

    1. EK

      Если возник такой вопрос, менять или нет, то точно стоит сменить.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике